الوباء الرقمي: CoronaVirus vs CoViper

على خلفية جائحة الفيروس التاجي ، هناك شعور بأن الوباء الرقمي الواسع النطاق قد اندلع معه [1] . يسبب معدل نمو عدد مواقع التصيد الاحتيالي ، والبريد المزعج ، والموارد الاحتيالية ، والملفاري وما شابه ذلك من أنشطة خبيثة قلقًا بالغًا. حول نطاق الفوضى التي تم إنشاؤها تقول الأنباء أن "المبتزين يعدون بعدم مهاجمة المؤسسات الطبية" [2] . نعم ، هذا صحيح: أولئك الذين يدافعون عن حياة الناس وصحتهم أثناء الوباء يتعرضون أيضًا للهجوم من قبل البرامج الضارة ، كما كان الحال في جمهورية التشيك ، حيث عطلت CoViper Ransomware العديد من المستشفيات [3] .
هناك رغبة في فهم ماهية برامج الفدية التي تستغل موضوعات الفيروسات التاجية ولماذا تظهر بسرعة. على الشبكة ، تم العثور على عينات من البرامج الضارة - CoViper و CoronaVirus ، التي هاجمت العديد من أجهزة الكمبيوتر ، بما في ذلك في المستشفيات العامة والمراكز الطبية.
كل من هذه الملفات القابلة للتنفيذ بتنسيق Portable Executable ، مما يعني أنها تستهدف Windows. يتم تجميعها أيضًا لـ x86. من الجدير بالذكر أنها متشابهة جدًا مع بعضها البعض ، فقط مكتوب CoViper في دلفي ، كما يتضح من تاريخ التجميع في 19 يونيو 1992 وأسماء الأقسام ، و CoronaVirus في C. كلاهما ممثلين للمشفرات.
Ransomware Ransomware أو Ransomware هو برنامج ، عندما يصل إلى كمبيوتر الضحية ، يقوم بتشفير ملفات المستخدم ، ويعطل العملية العادية لتحميل نظام التشغيل ، ويبلغ المستخدم أنه يحتاج إلى دفع المهاجمين لفك تشفير.
بعد بدء البرنامج ، يبحثون عن ملفات المستخدم على الكمبيوتر ويقومون بتشفيرها. إنهم يقومون بإجراء بحث باستخدام وظائف API القياسية ، ويمكن العثور على أمثلة منها بسهولة على MSDN [4] .


الشكل 1 البحث عن ملفات المستخدم

بعد مرور بعض الوقت ، يعيدون تشغيل الكمبيوتر ويعرضون رسالة مشابهة حول قفل الكمبيوتر.

صورة 2 رسالة الحظر

لتعطيل عملية التمهيد لنظام التشغيل ، تستخدم برامج التشفير تقنية بسيطة لتعديل سجل التمهيد (MBR) [5] باستخدام Windows API.

الشكل 3 تعديل سجل التمهيد.

العديد من برامج الفدية الأخرى SmartRansom و Maze و ONI Ransomware و Bioskits و MBRlock Ransomware و HDDCryptor Ransomware و RedBoot و UselessDisk تستخدم هذه الطريقة لإخراج الكمبيوتر. تطبيق إعادة كتابة MBR متاح لعامة الناس مع ظهور رموز المصدر لبرامج مثل MBR Locker على الشبكة. لدعم هذا ، على GitHub [6] يمكنك العثور على عدد كبير من المستودعات التي تحتوي على التعليمات البرمجية المصدر أو المشاريع الجاهزة لـ Visual Studio.
تجميع هذا الرمز مع GitHub [7]، يتحول إلى برنامج يعطل جهاز الكمبيوتر الخاص بالمستخدم في بضع ثوانٍ. ويستغرق تجميعها حوالي خمس أو عشر دقائق.
اتضح أنه لجمع البرامج الضارة الضارة لا تحتاج إلى مهارات أو أدوات رائعة ، يمكن لأي شخص القيام بذلك في أي مكان. يسير الرمز بحرية على الشبكة ويمكن أن يتكاثر بسهولة في مثل هذه البرامج. تجعلني أفكر. هذه مشكلة خطيرة تتطلب التدخل وتدابير معينة.